Von Loveletter und anderen Computerviren

Gefährliche Liebespost.
Von Loveletter und anderen Computerviren
Ein Beitrag des ZDV zur Reihe
„What‘s love“
Im Rahmen des Tages der offenen Tür
2002
Referent: Stefan Röhle, ZDV
Zentrum für Datenverarbeitung



Rechenzentrum der Universität
Zentrale Einrichtung der JoGu
Dienstleistungen für Studenten und Mitarbeiter







E-Mail, Internetzugang, Speicherplatz
Kurse, Online-Learning
Scannen, Posterdruck, DTP
Verleih: Digitale Kameras, Beamer
Datensicherung, Virenschutz
Administration zentraler und verteilter Rechner
Weitere Infos: Stand alte Mensa, NatFak (N)
www.zdv.uni-mainz.de
Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002
Übersicht
1.
2.
3.
4.
5.
Was sind Computerviren?
Wie verbreiten sich Computerviren?
Wie kann ich mich davor schützen?
Zusammenfassung
Links
(Verwendete Quellen: In den Links angegebene Webseiten)
Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002
1. Was sind Computerviren?
Programme (oder Skripte), die sich selbst vervielfältigen können und oft Schadfunktionen
(malicious code) enthalten.






Bootsektor Viren
Parasitische Viren („klassischer“ Virus)
Würmer
Trojanische Pferde (Trojaner)
Hoaxes
Makro-Viren (Word, Excel etc.)
Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002
Allgemeine Schadwirkungen

Löschen von Daten

Datenkorruption

Datendiebstahl

Beanspruchung von Ressourcen
Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002
Hoaxes (1/2)
(Hoax: Scherz, Falschmeldung)
E-Mails, die zur Weiterleitung animieren, und
deren Inhalt zweifelhaft ist.
 Viruswarnungen
 Glücksbriefe, Kettenbriefe
 „Make money, fast!“
(Pyramidensystem)
 „Tränendrüsen-Briefe“
Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002
Hoaxes (2/2)
Schadwirkung



Verunsicherung der Benutzer
Zeitverschwendung
Erhöhtes Mailaufkommen durch
Schneeballsystem (Kettenbriefe),
vergleichbar mit „echten“ Viren
Maßnahme
Löschen der E-Mail!
Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002
Trojaner
Klassische Trojanische Pferde sind
Programme, die vordergründig nützlich sind,
im Hintergrund aber ihre wahren Aktivitäten
entfalten.
Moderne Trojaner führen nur noch unbemerkt
ihre Schadfunktionen im Hintergrund aus.
Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002
Würmer
Würmer erstellen Kopien von sich und verbreiten sich selbst z.B. über das Netzwerk
oder per E-Mail.
Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002
2. Wie verbreiten sich Computerviren?

Ohne Benutzer



Nutzen Schwachstellen im Netzwerk aus
Nutzen Schwachstellen in Software aus
Durch „Hilfe“ des Benutzers


Anklicken des E-Mail-Anhangs
Ausführen von heruntergeladenen Programmen
Dabei wird der Benutzer meist getäuscht und
ausgetrickst, damit er den Virus aktiviert!
Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002
Viren TOP TEN
Quelle: http://www.sophos.com/virusinfo/topten/
Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002
Loveletter (alias LoveLet-A)


Entdeckt im April 2000
Über E-Mail verbreitet
Subject: „ILOVEYOU“
Message: „kindly check the attached
LOVELETTER coming from me“
Attachment: LOVE-LETTER-FOR-YOU.TXT.vbs

Trick

Ausnutzen der unterdrückten Dateiendung bei
Standardinstallation - das Attachment erscheint nur als
LOVE-LETTER-FOR-YOU.TXT


Dadurch Tarnung eines Skriptes als Textdatei
Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002
Loveletter
Bei Ausführen des Attachments passiert folgendes...

Erstellt Kopien von sich auf der Festplatte

Hinzufügen von Registry-Einträgen, damit der Trojaner bei
Systemstart automatisch ausgeführt wird

Ersetzt und löscht Dateien (lokal und im Netzwerk!)






picture.jpg -> picture.jpg.vbs, Original gelöscht
.vbs Dateien durch Kopie von sich ersetzt
music.mp3 -> Attribut ‚hidden‘ -> music.mp3.vbs
LOVE-LETTER-FOR-YOU.HTM wird an IRC versendet
Verschickt sich selbst an alle Benutzer im Outlook-Adressbuch
Download eines Passwort-Schnüffelprogramms (Trojaner)


ebenfalls in Registry eingetragen zum automatischen Start
schickt Passworte an [email protected]
Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002
BadTrans-B (Platz 1 Januar)

ausführbare Datei als E-Mail Attachment




Eintrag in Registry
E-Mail Versand per Outlook







Message: „Take a look at the attachment“
Attachment: zufällig aus Liste, z.B. fun.pif, docs.scr,
Me_nude.AVI.pif
Antwortet auf gelesene und ungelesene Mails
Verschickt sich an Adressen, die in .asp, .ht* Dateien gefunden
werden
Verwendet Absender aus Liste, z.B. [email protected],
[email protected]
Antwortadresse wird leicht geändert, so dass Reply unmöglich ist
Subject: Re:
Attachment: aus Liste, z.B. docs.DOC.pif, Humor.MP3.scr
installiert Keylogger (Trojaner)
Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002
MyParty-A (Platz 2 Januar)

ausführbare Datei als E-Mail Attachment




Subject: „new photos from my party!“
Message: „Hello! My Party... It was absolutely
amazing! I have attached my web page with the
new photos! If you can please make color
prints of my photos. Thanks“
Attachment: Datei www.myparty.yahoo.com
25.-29.1.2001



Kopie von sich an jeden in Windows Adressbuch verschickt
Win9x/ME: Kopie von sich nach
C:\Recycled\regctrl.exe + ausführen derselben
WinNT/2K/XP: Kopie nach C:\regctrl.exe + ausführen
derselben; Kopie der Datei MSSTASK.EXE in Ordner
„Autostart“ (Backdoor Trojaner)
Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002
Sircam-A


(Platz 4/Januar, Platz 2/2001)
1/2
Verbreitung per E-Mail oder offene Netzwerk-Freigaben
Versand von E-Mail über eigene SMTP Routine






Adressen aus Windows Adressbuch
Text aus Liste auf Englisch oder Spanisch
Subject: zufällig, siehe Attachment
Message: „Hi! How are you? I send you this
file in order to have your advice. See you
later. Thanks“
Attachment: Dateiname identisch mit Subject, doppelte
Endung, z.B. .doc.com, .mpg.pif
Achtung: Versendet Dokumente des Users aus „Eigene
Dateien“!
Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002
Sircam-A



2/2
erstellt Kopie von sich nach
\Windows\System\sirc32.exe und ebenfalls
versteckt in den Papierkorb (auch im Netz)
Eintrag in Registry zum Start beim Systemstart
Kopie in Windows-Verzeichnis von verbundenem Rechner



(Platz 4/Januar, Platz 2/2001)
rundll32.exe -> run32.exe, Viruscode ->
rundll32.exe
Modifikation der autoexec.bat zum Aufruf der Datei aus
Papierkorb
weiterer Schadcode


1:50 Chance, dass Datei Sircam.sys in Papierkorb erzeugt
wird und gefüllt wird, bis Festplatte voll ist
Glück: weitere Schadfunktion enthält Bug...
Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002
Nimda-A




1/2
Verbreitung per E-Mail, Netzwerk-Freigaben und Websites
Befallene E-Mails


(Platz 5/Januar, Platz 1/2001)
enthalten zufälliges Subject, Attachment meist
„README.EXE“
Versuch, Sicherheitslücke in Microsoft Outlook, Microsoft
Outlook Express oder Internet Explorer auszunutzen
(Versand ohne Hilfe des Users)
Virus verschickt sich an Adressen, die er auf Rechner
findet (Outlook, Outlook Express, HTML-Dateien)
Kopien des Attachments in Windows-Verzeichnis



load.exe und riched20.dll (Attribut „versteckt“)
lokal und im Netzwerk
Modifikation der system.ini, damit Virus bei Windowsstart
ausgeführt wird
Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002
Nimda-A
(Platz 5/Januar, Platz 1/2001)
2/2

gibt jedes lokale Laufwerk frei
kopiert sich auf alle freigegebenen Laufwerke in jedes
Unterverzeichnis (im .eml Format)
infiziert .exe Dateien

Suche nach „verwundbaren“ IIS





Dann: Infektion per Webseite


„Code-Upload per Sicherheitsloch“
Port-Scanning erzeugt viel Traffic
an .asp, .htm, .html Seiten wird JavaScript Code
angefügt, der zuvor abgelegte E-Mail (README.EML) öffnet
und so den betrachtenden Client infiziert
und, und, und... Aber: Kein Schadcode!!!
Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002
Motivation der Virus-Autoren
Ansehen bei „Kollegen“
 Machtgefühl in Cyberwelt
 „Proof of concept“ (ohne Schadfunktionen)
 Forschung (?)
 Vergleichbar: Graffiti, Vandalismus
Allerdings ist der verursachte Schaden viel
größer!

Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002
3. Wie kann ich mich davor
schützen?

Virenscanner installieren!




Mailprogramm sicherer machen!





Bugfixes installieren
Scriptingfunktionen deaktivieren (WSH, JavaScript,...)
Anlagen/Downloads nicht unüberlegt doppelklicken/ausführen
Dokumentformate mit Makroinhalt vermeiden!


regelmäßiges Update!
Material aus „unsicheren“ Quellen scannen, ggf. löschen
System regelmäßig scannen
Kein .doc / .xls, sondern .txt, .rtf
Versteckte Dateiendungen sichtbar machen!
Regelmäßig Backups anfertigen!
Erst denken, dann klicken!
Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002
4. Zusammenfassung

Virus ist ein Oberbegriff

Austricksen der Benutzer
Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002
5. Links

www.nai.com
www.sophos.com
www.f-secure.com
www.trojaner-info.de

www.tu-berlin.de/www/software/hoax.shtml





www.wildlist.org
www.virusbtn.com
Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002
Das war‘s!
Vielen Dank für Ihre Aufmerksamkeit
und noch viel Spaß an der
Johannes-Gutenberg Universität!
Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002